同様の事象が発生してる方おられましたら、
対策方法などアドバイスいただけますでしょうか？

[現象]
Microsoft Azure上にEC-CUBEを構築しています。
EC-CUBEの前にAzure Web アプリケーション ファイアウォール（WAF)を設置しています。
WAFのルールとして「OWASP 3.0」を適用していますが、
ログイン時に発行する「_csrf_token」と
カートに入れるときの「_token」が
WAFのルールにひっかかるトークンの場合があります。

一つが、「942440 SQL コメント シーケンスが検出されました。」で、トークンの中に「ハイフン（-)」が連続している場合があり、SQLインジェクションだと判断されてます。

もう一つが、「942450 SQL 16 進数エンコードが識別されました」でトークンの中に「0Xa0」などの16進数の形式の文字列が入る場合に、攻撃だとみなされてエラーとなります。

OWASP3.0のWAFを入れておられる方は、どう対処されているんでしょうか？
そもそも、EC-CUBEではこれらの脆弱性には対処できないのでしょうか？

お知恵をお貸ください。
よろしくお願いします



[EC-CUBE] 4.0.3 新規インストール
[レンタルサーバ] Microsoft Azure
[OS] Windows Server 2019
[PHP] 7.3.13
[データベース] Postgresql 10.11
[WEBサーバ] apache
[導入プラグインの有無]
商品オプションプラグイン1.0.11
ユーザー名ログインプラグイン for EC-CUBE4 1.0．1
商品並び替えプラグイン　1.0．3

Microsoft Azureを使ったことがないので、
異なるかもしれませんが、
AWSのAWS WAFを導入した際に基本のルール（AWS-AWSManagedRulesCommonRuleSet）を設定しても
EC-CUBE標準の各動作がルールに引っかかりブロックされてしまいます。

- 管理画面＞商品CSVアップロード：リクエストBodyサイズの上限に引っかかる。
- 管理画面＞コンテンツ管理＞ページ管理、ブロック管理：クロスサイトスクリプティングの攻撃とみなされる

など。

私の場合では
上記の内容は攻撃でも脆弱性でもないため、AWS WAFの設定にてルールからブロックを行なった個別のルール（SizeRestrictions_BODYなど）の制限を、各画面へのアクセスに対して外すよう設定しております。

Microsoft Azureでも同じようにWAFのルールをさらに調整することが
対策の1つかもしれません。

参考になりますと幸いです。

Azureが提供しているWAFの設定内容がわかりかねるのですが、
攻撃として検知される対象ページのみ、該当ルールの除外または調整を行う、といった設定が出来るのであればそのような形で調整する形になるのかと思います。